曾磊
摘要:全球互联互通背景下数据的跨境流动是实现经济、技术等全球化均衡发展的必备要件,同时数据安全亦与国家安全、个人隐私等息息相关,数据跨境流动的规制尺度由此成为数据安全保障的一个焦点问题。当前数据跨境流动的规制比较有代表性的有欧洲模式和美国模式,前者注重个人隐私和人权保障,严格限制数据在欧盟范围之外的跨境流动;后者倡导数据的跨境自由流动并不断拓宽自身在全球范围内的管辖权。我国目前已初步建立起以《网络安全法》《数据安全法(草案)》为主要内容的数据跨境流动规则。但与前述国际规则相比,我国的数据跨境流动规则仍然存在一些問题,包括调整对象过于广泛,未能准确限定为电子数据;数据分级分类制度、跨境流动审查规则不够具体;数据安全保护环节的企业责任义务形式单一等。应进一步明确数据的定义,缩小调整范围,将非电子化数据排除在数据安全法的保护对象之外;建立科学合理的数据分级分类制度以及与国际规则接轨的跨境流动审查制度;构建数据安全审查制度,强化企业守法能力与自我监督机制等,妥善规制数据跨境流动问题。
关键词:数据;数据跨境流动;国际规则;《数据安全法(草案)》
中图分类号:F710文献标识码:A文章编号:1007-8266(2021)06-0094-11
基金项目:2021年甘肃省人民检察院检察理论研究课题“惩治与预防网络犯罪疑难问题研究”(2021-17-3);2020年度甘肃政法大学校级专项项目“习近平法治思想与马克思主义法学理论发展”(GZF2020XZX08);2020年度甘肃省高等学校创新能力提升项目“‘一带一路’沿线国家网络犯罪合作治理研究”(2020A-090)
(一)数据安全问题凸显的历史脉络
互联网的前身“阿帕”(ARPA)诞生于1969年的美国,是美国高级研究计划署(Advanced Re? search Project Agency)的简称,最初只服务于军用科研,是冷战时期美国为了在科技上取得对苏联的压制优势而诞生的。20世纪70年代后期互联网开始转向民用,以IBM(International Business Ma? chines Corporation)为代表的美国企业在全球开展跨国业务,每年向全世界出口计算机设备和系统,并发展成局域网和互联网。在此过程中IBM始终在收集、存储并跨境转移着庞大的数据,继而掌握大量他国政府、企业、科研机构的数据与个人信息。随着信息技术的不断发展,互联网与整个社会的融合度与日俱增,截至2020年3月,我国的网民规模已经突破9亿户。[ 1 ]数据的来源十分广泛,信息技术与社会经济的交汇融合引发了数据的迅猛增长,个人、企业、移动智能终端、传感器、可穿戴设备随时随地都产生着大量的数据,而信息技术的迅猛发展,使这些海量数据的收集和储存变得十分容易。2015年9月国务院《促进大数据发展行动纲要》中提到,“数据已成为国家基础性战略资源,大数据正日益对全球生产、流动、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响”。[ 2 ]2016年3月的“十三五”规划纲要也指出“实施国家大数据战略”,“把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新”。[ 3 ]可见,在大数据时代,数据已经成为全新的生产要素,被视为国家新型基础性战略资源,在促进国民经济和提升国家竞争力方面发挥着越来越重要的作用。大数据技术与数字经济价值的互动模式正在多元化发展,且在“互联网+”业态模式架构下,大数据势必在网络空域的纵深领域有更大的发展空间。但是,在大数据把网络空间与现实世界紧密结合并为人类带来便利的同时,数据的采集、加工、使用、储存的每个环节都会产生信息安全漏洞,“没有网络安全,就没有国家安全”,数据安全问题是当今世界各国所面临的现实又严峻的挑战。
(二)数据安全与全球发展的博弈与平衡
在全球化的背景下,大数据具有总量大(Vol? ume)、类型多(Variety)、速度快(Velocity)、易变性(Variability)、价值性(Value)的5V特性。各类数据被跨境收集、存储、使用和转移已经成为常态。在经济上,海量高价值数据的快速全球性流动有利于生产力的发展,可促进生产效率的提高,改善人民群众的生活水平;在文化上,数据流动能使各国的联系更紧密,促进文化的交流互通,增进各国人民的友好感情;在安全上,信息情报的互通有利于各国通力协作打击日益猖獗的国际犯罪和极端恐怖势力,保护人民群众的生命财产安全。
然而,由于不同国家对数据保护的现行立法体系规则具有差异性,数据掌控者将数据转移至其他国家的目的有可能是规避本国对数据保护的相关规定,造成数据滥用并侵害数据相关主体的个人数据权或者隐私权;多源信息融合技术的发展使国家秘密与非秘密之间的界限不再清晰,原本不会给国家安全造成威胁的个体数据在达到一定规模并与其他信息融合、经过处理和分析后,也很有可能对国家安全和社会公共利益造成严重威胁。大数据具有类型多和易变性的特点,现有法律规则体系无法涵盖大数据时代的新型数据类型;数据是信息的形式和载体,信息是数据的表达内容,数据中蕴含的信息通过信息技术进行提炼而得出。不同国家的信息技术水平存在着差异,对一国无价值的数据,其他国家却可能提炼出关乎国家安全的高价值信息。
大数据时代数据安全面临的挑战类型多种多样,海量的大数据具有高价值性,大数据蕴含的潜在价值能为网络黑客带来巨大的经济效益。美国时代华纳公司,全球最大的职业社交网站领英、雅虎等都被黑客盗取过海量用户数据[ 4-5 ],掌握专业计算机技术的黑客利用各类技术攻击各大网站,盗取用户个人信息和企业商业机密,谋取巨大的经济利益。对于上述问题,应当发展数据技术,完善相关立法,对网络平台和关键信息基础设施进行全面保护,防止网络黑客的入侵。合法合规的数据流动能够促进社会经济的发展,提高数据的收集、存储、使用和流动水平,但数据的非法跨境流动严重威胁国家安全、社会安全与个人权益,侵犯国家网络空间主权。在数据跨境流动方面,必须正确处理限制数据流动的尺度问题。
(一)数据跨境流动国际法律规制的缘起
20世纪70年代后期,以IBM为代表的美国公司依靠技术和商业优势抢占全球计算机相关产业的半壁江山。1973年,欧洲共同体委员会(Com? mission of the European Communities,CEC)指出,在数据产业方面,欧共体内部没有公司能够与美国公司进行竞争。面对美国对数据产业的垄断以及欧洲和美国经济政治利益的分歧,欧洲各国纷纷制定法律限制数据的跨境转移,同时加大对数据产业的投入,期望能建立强大的计算机相关产业。与我国以“维护国家主权、安全和发展利益”为出发点对数据跨境流动进行立法规制不同,欧洲各国制定的数据保护法虽然也能起到“维护国家主权、安全和发展利益”的作用,但他们的首要理由是保护个人数据,保障个人隐私权不受侵犯。
20世纪70年代开始,欧洲各国掀起数据立法浪潮。1970年西德黑森州制定《黑森州数据保护法》,开创了世界范围内专门性个人数据保护法的先河;1973年瑞典出台《瑞典数据法》;1977年西德制定《联邦数据保护法》;1974年法国出台《信息、档案与自由法》;1984年英国颁布《英国数据保护法》。[ 6 ]随后,丹麦、挪威、奥地利、葡萄牙、西班牙、比利时、卢森堡等相继从个人数据保护的角度出台本国的个人数据保护法,对数据的跨境流动做出限制。这些数据保护法以个人数据保护为理由切断了数据的正常流动,引起了美国对数据壁垒与数据保护主义的不满。美国指责欧洲各国限制数据跨境流动的做法是“以保护个人数据隐私为借口遏制竞争对手的发展”,是“经济保护主义”,认为“民主社会有着信息跨境自由流动的传统,法律应该鼓励信息自由获取并限制信息滥用”。[ 7 ]
数据跨境流动能够为社会经济带来效益,大数据时代应鼓励数据合法合规的跨境流动,对数据跨境流动的限制应该把握好尺度。欧洲各国通过数据立法限制数据跨境流动的做法虽然确实削弱了美国在数据产业方面的垄断,但也限制了欧洲国家内部的数据跨境流动,不利于欧洲国家的社会经济发展。因此,欧盟内部不断检讨和调试有关数据流动的法律,以求在安全和发展中找到平衡。1980年,经济合作与发展组织(Organization for Economic Co-operation and Development,OECD)通过《关于隐私保护和个人跨境数据转移指南》(Guidelines on Privacy Protection and Personal Cross- border Data Transfer,以下简称《OECD指南》),标志着欧盟对数据流动立法的进一步完善。
(二)《OECD指南》与《有关个人数据自动化处理的个体保护公约》
为统一成员国之间数据跨境流动的规则,把握限制数据跨境流动的尺度,协调与确认欧盟成员国内部个人信息和数据保护的基本原则及国际数据跨境流动的基本框架,《OECD指南》诞生。《OECD指南》共22条,对数据安全保护做出了详细规定。首先,《OECD指南》对数据安全保护的最低标准做出规定,规定了成员国内部数据处理的原则,如限制收集原则、数据质量原则、目的明确原则、使用限制原则、安全保障原则、透明原则、个人参与原则、责任原则;其次,规定了成员国之间的数据处理原则,除特殊情况外(其他成员国对某一特定类型数据的保护程度低于本国),成员国应避免以隐私保护名义立法限制数据的自由流动。所以,《OECD指南》考虑到了不同情况下数据跨境流动自由和限制的基本问题。
但是,从效力上看,《OECD指南》只是一种推荐性指南,对各国没有约束力,无法起到统一成员国数据立法的作用。为真正做到统一欧盟成员国数据保护立法,欧洲理事会(Council of Europe)于1981年通过《有关个人数据自动化处理的个体保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Da? ta,以下简称《第108号公约》)。该公约对欧盟成员国具有普遍约束力,是全球范围内第一部对成员国具有法律约束力的区域性公约,它规定了成员国之间个人数据的自由流动原则(除非另一成员国对数据保护的程度低于本国),保障了欧盟成员国之间的数据自由跨境流动。同时,该公约还对数据由缔约国向非缔约国的单向跨境流动做出了规定,唯有非缔约国对个人数据提供了适当的保护,非缔约国才能正常接收上述数据。其中,对“适当保护”有两种具体的判断方式:第一,由缔约国对非缔约国的立法进行评估;第二;由缔约国对数据跨境转移的合同条款进行评估。以上兩种方式任选其一即可。可以看出,《第108号公约》放松了成员国内部数据流动的限制性规定,但强化了向成员国以外流动的限制,加深了欧盟国家与包括美国在内的其他区域外国家之间数据跨境流动的分歧。
(三)《服务贸易总协定》一般例外条款对数据流动的法律效果
《OECD指南》和《第108号公约》是规定欧盟国家数据安全保护立法的统一性规范,在保护欧盟成员国之间数据自由流动、保障成员国数据安全的同时,加深了欧美之间对数据自由流动问题的分歧。1995年生效的世界贸易组织(WTO)框架下的《服务贸易总协定》(General Agreement on Trade in Services,GATS)是以扩大国际服务贸易透明度和自由化、促进成员国经济和发展中国家服务业发展为宗旨的协定,它虽然不是国际数据安全保护的专门协定,但在数据作为全新生产要素的时代,数据流动往往会对跨境服务贸易产生影响,因此GATS对欧盟数据安全立法具有一定的影响。
跨境服务贸易必然容易对国家主权和内政产生影响,为了“不在情况相同的国家间构成武断的或不公正的歧视,或构成对服务贸易的变相限制”,GATS第14条对成员国可以实施的措施做了一般例外规定。该条规定,为“保护与个人资料的处理和散播有关的个人隐私以及个人记录和账户秘密”,成员国可以对服务贸易进行限制。欧盟把GATS的一般例外条款作为其合法限制国际自由贸易措施的依据,以保护个人隐私为理由于1995年通过《数据保护指令》(Data Protection Directive)(以下简称1995年《指令》)限制成员国数据向非成员国流动。
(四)《数据保护指令》与《通用数据保护条例》
1995年《指令》强化了欧盟各国的个人数据保护水平,要求各成员国必须设立数据监管部门对跨境流动的数据进行事前审查和批准,并要求各成员国以国内立法的方式对1995年《指令》的内容予以执行,该指令同时也掀起了世界其他国家数据安全立法的浪潮。[ 8 ]
在网络技术代际更新加快的背景下,欧盟对数据流动规制的立法也在迎合这种技术潮流,2018年生效的《通用数据保护条例》(General Data Protection Regulation,GDPR)代替了1995年《指令》,完善了数据保护的基本规定,继续贯彻欧盟对数据跨境流动的“内松外严”原则。在数据跨境流动方面,GDPR第五章对数据跨境转移做出专门规定。第44条强调若不满足GDPR的相关规定,数据控制者不得将数据转移至未经认定的第三国或者国际组织,且不得将数据从该第三国或国际组织转移至另一非经认定的第三国或国际组织。第45条则对第三国与国际组织的资质认定标准、认定后的周期性审查、第三国或国际组织经认定后不再具有认定资质的情况、补救措施等进行了详细规定。此外,未经欧盟认定而进行数据跨境转移的违法责任和特殊情况下的数据跨境转移也在第五章中有详细规定。
GDPR为个人数据权利提供了强有力的保护,有利于防止第三国或国际组织由于对个人数据立法保护水平差异而造成对个人数据权利的侵害,但由于冗杂的认定程序以及过高的标准,至今获得欧盟充分性认证的国家和地区只有11个:加拿大、阿根廷、瑞士、安道尔、法罗群岛、泽西岛、马恩岛、根西岛、新西兰、以色列、乌拉圭东岸共和国。[ 9 ]然而在大数据时代,对数据跨境流动过多限制显然违背全球化的趋势与市场规律。
(五)标准合同条款(SCC)、约束性公司规制(BCR)与亚太经济合作组织跨境隐私保护规制(CBPR)对于数据流动的差异性规制
GDPR第45条对第三国或国际组织对数据保护的资质认定规定了三种标准。第一,第三国或国际组织的法制水平,在数据安全保护的立法、执法与司法环节是否能够切实保障基本自由和人权。第二,在国际组织是主体的情况下,第三国必须具有能够保证数据保护规则施行的独立监管机构,帮助数据主体合法行使权利,推动数据主体与其他成员国监管机构进行合作。第三,第三国或国际组织愿意承担已加入的数据安全保护公约所规定的法律责任。由于满足该条的国家和地区寥寥无几,所以如果满足1995年《指令》第26条与GDPR第46条的规定,在数据主体明确表示同意、传输数据为合同履行所必需且该合同是为数据主体的利益或保护重大公共利益的情况下,没有被认定为具有充分保护水平的国家和地区,如果满足欧盟委员会的标准合同条款(Standard Con? tractual Clause,SCC)或约束性公司规则(Binding Corporate Rules,BCR),欧盟成员国也可以向其传输个人数据。
SCC是指欧盟企业跨境传输个人数据时,为保证能让第三国或地区按照欧盟标准保护个人数据而签订的合同,在每次进行数据传输时都必须签订该合同。BCR则免去了重复签订合同的麻烦。BCR是专门针对总公司或者子公司在欧盟区域内的跨国公司的规则体系,目的是避免位于欧盟的跨国公司向欧洲之外的分支机构传输信息数据所产生的问题。一般情况下,向欧盟以外没有通过欧盟认定的国家或地区传输数据信息时,按照规定签订标准合同条款即可,但如果总公司或者子公司处于欧盟区域内,跨国公司集团内的数据传输必然十分频繁,每次都签订标准合同条款显然会降低生产效率,加重企业负担,因此跨国公司集团内部需要按照GDPR的规定制定公司内部的约束性公司规则,并提交欧盟审批,审批通过后不再需要签订标准合同条款。
亚洲太平洋经济合作组织跨境隐私保护规则(Asia- Pacific Economic Cooperation Cross- Border Privacy Rules,CBPR)与BCR具有相似性,都是针对自愿加入相关规则的跨国企业对本区域个人数据的保护规则体系,[ 10 ]但CBPR与BCR也存在如下差异性:首先,CBPR的规范对象不仅限于亚太区域内符合隐私规则规定的企业,原则上符合条件的企业都可以加入;其次,与BCR体系下欧盟数据保护当局(Data Protection Authority,DPA)對企业进行监管与制裁不同,在CBPR体系下,由本国的问责代理机构对企业进行监管,本国的隐私执法机构对企业违规行为进行制裁;再次,与欧盟不同,亚太经合组织没有统一的执法机构。在BCR体系下,违反数据保护规则的企业,由欧盟数据保护当局对其进行制裁;在CBPR体系下,违反数据保护规则的企业由本国隐私执法机构依照CBPR的规定对其进行制裁,企业所属国的隐私执法机构必须通过CBPR体系的认证。所以,实践中企业申请加入CBPR体系的前提条件是本国的问责代理机构和隐私执法机构通过了CBPR的认证。
(六)总结
欧盟的GDPR从《OECD指南》逐步发展而来,以GATS隐私例外条款为国际法依据,建立了一套针对第三国家或地区的资质认定体系,对欧盟个人数据信息进行保护,严格限制数据的跨境流动,保障公民个人隐私权与国家社会利益。为保障大数据时代数据跨境流动,促进生产力发展,欧盟的BCR与SCC体系解决了第三国无法通过GDPR评估时的数据跨境流动问题。由于不同法域的国家政治、经济、文化差异巨大,不同地域的数据保护模式存在着差异,欧盟的BCR和美国主导下的CB? PR可被看作不同数据保护模式的延展性成果,将纯粹的欧洲保护模式与纯粹的美国保护模式进行了融合。为进一步促进数据的跨境自由流动,2012年欧盟和APEC组成联合工作小组,并于2014年制定“BCR规则体系和CBPR规则体系共同参考”,在重申两者体系内容的同时又制定了共同的新标准,以期实现长期合作。[ 11 ]
但在实践中,GDPR的资质认定体系存在着诸多问题,首先,1995年《指令》生效以来,通过认定的国家或地区寥寥无几,从侧面反映出资质认定条件的不合理;其次,欧盟的某些评估标准过于主观,如GDPR第45条之“法治、对人权与基本自由的尊重”被作为评估标准之一,而具体的法治与人权的评价标准却不得而知,过于主观的评价标准容易使之失去公信力。此外,“棱镜计划”曝光后,美国主导下的CBPR体系能否真正维护安全的数据跨境流动也不得而知。
(一)我国制定数据安全法的必要性
从个人利益角度出发,“数据欺诈与盗窃”已经连续数年被世界经济论坛发布的《全球风险报告》列为全球十大风险之一。[ 12 ]当我们使用微信、微博、抖音等软件记录美好生活的同时,个人隐私也处于被泄漏的危险之中,个人信息如果被泄漏,很有可能被不法分子用于精准诈骗,[ 13 ]或者再次贩卖以谋求巨大的经济利益。据公安部消息,2019年,我国侦破20万起电信网络诈骗案件,抓获犯罪嫌疑人达16.3万人,分别同比上升52.7%、123.3%,捣毁5 000多个境内诈骗窝点;且互联网犯罪呈现出跨国趋势,同年,我国各地公安机关先后21次赴国外与数十个国家和地区开展警务执法合作,协同当地警员捣毁70个境外诈骗窝点,将4 276名犯罪嫌疑人从境外押解回国。[ 14 ]由此可见,针对目前互联网犯罪数量多、损失巨大且呈跨国性的犯罪趋势,数据安全保护至关重要。
从社会公共利益的角度出发,正如习近平总书记在全国网络安全和信息化工作会议上所指出的:金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运动的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。[ 15 ]随着物联网的飞速发展,智能家具家电、无人驾驶交通工具等人工智能设备正在普及,但如果有人恶意通过技术手段远程控制核电站、燃气开关、电站、水坝闸门、铁路道闸、无人交通工具刹车系统,就极易造成核事故、爆炸、决堤、重大交通事故等,引起无法挽回的重大经济损失甚至大规模公共伤亡事件,造成社会的动荡与恐慌。防范上述不确定性的危险,最重要的就是加强数据安全保护。
从国家安全的角度出发,20世纪90年代以来,我国互联网技术的飞速发展迎来了大数据时代,国际数据公司(International Data Corporation,IDC)发布的《数字化世界——从边缘到核心》与《IDC:2025年中国将拥有全球最大的数据圈》白皮书预测,2018—2025年中国的数据圈(Data Sphere)①将以30%的年平均增速领先全球,比全球平均增速高3个百分点;2025年中国数据圈将增至48.6ZB,占全球27.8%,成为最大数据圈。[ 16 ]大数据与国家安全密不可分,如此海量的大数据,如果没有必要的保护,必然不利于国家安全。多源信息融合技术使平时看似无用的普通数据在一定条件下具备了泄漏国家机密的可能,如2018年美军士兵使用名为Strava的健身软件健身,由于该软件有记录行走路线的功能,结果意外暴露了其所在军事基地的位置和基地内部结构。[ 17 ]2015年国务院发布《促进大数据发展行动纲要》,肯定了大数据的重要性,指出了其在经济运行、社会生活方式与国家治理中对创新企业组织方式、提高资源重新分配效率、促进政府科学决策与风险预防水平的重要作用,[ 18 ]确立了大数据作为国家新型基础性战略资源的地位。因此,从法律层面对数据安全与发展进行系统性规制十分重要。
从数据主权的角度出发,近年来,放眼国际社会,除日益猖獗的跨国犯罪集团与极端恐怖势力外,国际霸权主义和强权政治依然盛行,斯诺登披露的“棱镜计划”震撼世界各国。欧美不断适用长臂管辖原则,扩张本国法律的域外效力,美国、印度等国无端对微信、抖音等我国信息技术产业进行打压。为应对上述情形,我国应通过数据立法,完善数据分类分级制度、数据跨境转移制度、重要数据保护制度等,保障我国数据的管辖权、独立权、防卫权、平等权不受侵犯。然而作为全世界网民人数最多的数据大国,[ 19 ]我国至今还没有一部统一的数据法规制数据的安全运行和流动。而其他全球主要经济体大多已通过立法的形式对数据相关权利进行规制,美国已经把大数据视为强化国家竞争力的关键因素之一,英、法等国不断推进相关战略项目来保护本国的网络安全,[ 20 ]日本以建设世界一流的“信息安全先进国家”和“网络安全立国”为国家战略目标,出台了一系列国家战略文件;[ 21 ]北约网络空间安全框表明,目前世界上有100多个国家具备一定的网络战能力,公开发布网络安全战略的国家达56个。[ 22 ]在全国网络安全和信息化工作会议上,习近平总书记表示:“没有网络安全就没有国家安全。”[ 15 ]中国作为数据大国,应当进行统一的数据立法,规范数据跨境流动行为。
(二)我国数据安全立法现状
2016年11月7日,我国颁布《中华人民共和国网络安全法》(以下简称《网络安全法》),这是我国第一部关于网络安全的整体性立法。该法第一条规定:“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。”该法是一部为规范互联网全网体系而制定的法律,大部分是原则性规定,对数据的规定并非核心,但有关数据安全的规定仍然为此后的数据安全立法奠定了方向。整体上,该法维护网络数据的完整性、保密性、可用性,防止网络数据的泄漏或者被窃取、篡改,不准提供专门用于危害网络安全的程序、工具,并且对关键信息基础设施做出了规定;针对个人信息,該法明确网络运营者有保护用户数据的义务,应合法收集用户信息,未经用户允许不得泄漏、毁坏、向他人提供个人信息,有错误的应当及时改正;该法规定重要数据应储存在境内,未经网信部门或国务院有关部门的安全评估不得跨境传输,并要求建立监测预警和应急处置制度。所以,《网络安全法》明确将数据作为独立的法益进行保护,规定了公民对个人信息的权利,且首次提到“重要数据”这一概念,重要数据应储存于境内,未经审批不得进行跨境流动。这为以后的《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)奠定了基础。
在数据安全法缺位的情况下,为保障个人的数据权益,我国出台了包括《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等多部法律文件。总体来看,我国目前的数据安全法规过于分散化,缺乏体系性,现有涉及个人数据保护的法律法规近70部,法律解释10条,部门规章近200部,[ 23 ]且大部分是原则性规定,对数据主体权利的内容、规制方式以及救济途径都有明显缺失。[ 24 ]此外,部分地方性法规和部门规章之间相互矛盾,与上位法冲突的情况较常见。如2019年10月1日开始施行的《贵州省大数据安全保障条例》第57条:“违反本条例第二十七条第二款、第二十九条规定的……情节严重的,责令暂停相关业务、停业整顿,或者吊销相关业务许可证、营业执照。”该地方政府规章的内容显然违反了《中华人民共和国行政处罚法》第11条地方性法规不可以设定吊销营业执照的规定,过于分散的法规现状显然无法为数据安全提供切实可靠的法律依据。
(三)《数据安全法(草案)》的法律分析
《数据安全法(草案)》目前正处于公开征求意见阶段,数据安全法是数字安全领域的基础性法律,[ 25 ]应包括数据安全与发展原则、数据分级分类原则、促进数据跨境安全与自由流动、数据安全相关制度、相关主体的数据安全保护义务、政务数据安全与开放以及相关违法行为的法律责任等内容。
数据安全与发展原则与数据跨境流动息息相关。《数据安全法(草案)》在第二章设置了“数据安全与发展”专章。数据作为国家基础性战略资源,在促进国民经济发展和提升国家国际竞争力方面发挥着重要的作用。因此,国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新发展。网络安全是国家安全的基础,数据安全问题是世界各国都面临的重要问题,必须在发展数据技术的同时保障数据安全。数据跨境流动必须在“发展”与“安全”之间找到平衡点,过度的“发展”或“安全”都有可能造成国家、社会和个人利益的损害。
数据的安全保障是数据技术发展的前提。《数据安全法(草案)》第三章“数据安全制度”通过多种安全制度来保障数据安全。第二十条以数据在经济社会发展中的重要程度以及遭到篡改、泄漏和破坏后对国家、社会、公民、组织的危害程度为划分标准,建立数据分类分级保护制度,对各行各业不同重要程度的数据进行分类分级,有针对性地进行专门保护。第二十一条规定,建立统一高效权威的数据安全风险评估、报告、信息共享和预警机制,预防数据遭到篡改、泄漏和破坏,防止损害的发生。第二十二条规定,建立数据安全应急处置机制,在发生数据安全事件时,最大程度降低事件造成的社会危害。第二十三条规定,建立数据安全审查制度,对可能危害国家安全的数据活动进行国家安全审查。第二十四条和第二十五条规定,对特定数据实行出口管制,在遭到世界其他国家的歧视性禁止、限制时,对相关国家采取相应的对等措施,维护国家主权和尊严。
《数据安全法(草案)》第四章通过对重要数据的处理者以及数据安全负责人、管理机构课以数据安全保护义务,明确了责任主体,以此保证规定内容的落实。第五章专门对政务数据进行规定,要求国家机关大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,更好地发挥大数据对社会发展的促进作用;国家机关应在法定职责权限内收集和使用数据,避免权力滥用而对公民造成危害;国家机关应监督管理数据安全,落实数据安全保护责任,保障政务数据的安全;国家机关应遵循公正、公平、便民的原则,依法准确向公民公开相关政务数据,保障公民知情权。没有履行相关义务或者非法从事数据活动的主体,根据第六章的规定承担相关行政责任或刑事责任。综上,《数据安全法(草案)》对数据安全与发展、数据分级分类原则、相关责任主体以及法律责任等方面进行了规定,为数据保护与流动确定了基调。
(一)调整对象过于广泛
《数据安全法(草案)》第三条对“数据”的定义:“本法所称数据,是指任何以电子或者非电子形式对信息的记录。”因此,《数据安全法(草案)》的调整对象几乎涵盖了所有电子与非电子形式对信息的记录,调整范围过于广泛,超出了该草案的能力范围。参照《网络安全法》第七十六条第四款:“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据”,将《网络安全法》调整的数据限定为“电子数据”。《促进大数据发展行动纲要》显示,“信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源”。[ 2 ]其中“数据迅猛增长”是由“信息技术与经济社会的交汇融合”而引发的,“数据”产生于“信息技术”,因而其语义应该更偏向于“电子数据”。如果法律所调整的对象过宽,其效果必然无法达到立法者的意图,造成立法资源的浪费。
(二)操作性不足、实施空间有限
《数据安全法(草案)》还存在其他可操作性差、可实施性弱的规定。如第二十条规定“对数据实行分级分类保护”,然而对“分级分类保护”进行描述的条文仅此一处,容易使“分级分类保护”无法发挥应有的作用。在大数据战略下,数据虽然是国家的基础性战略资源,但必然存在大量无价值的垃圾数据,通过“分级分类”确定的高价值重要数据才是数据安全法的保护对象。因此,“分级分类”制度可谓核心制度,没有“分级分类”制度就无法界定该法的调整对象,也无法落实跨境保护制度与重要数据保护制度等其他制度。因此,應设立专章或者通过司法解释对“数据分级分类制度”进行详细规定。另外,同样是在《数据安全法(草案)》第二十条中,有确定重要数据目录、加强对重要数据保护的规定,但草案附则中没有对该条中的重要数据进行解释。虽然2017年4月11日《个人信息和重要数据出境安全评估办法(征求意见稿)》对重要数据的概念进行了界定,但该办法至今尚未出台。欠缺对重要数据这一术语的界定,不利于确定重要数据目录,亦不利于加强对重要数据的保护,这亦是《数据安全法(草案)》二审稿操作性不足、实施空间有限的体现。
(三)原则性条款过多
2016年的《网络安全法》首先规定了重要数据境内储存的原则,《数据安全法(草案)》应对数据跨境流动问题做出更详细的规定。然而,《数据安全(草案)》与数据跨境流动相关的条文仅有四条,且没有如何建设这些制度的具体阐述。其中,第十一条规定,国家积极参与数据安全国际规则的制定,但没有明确国内数据安全法规则与国际数据安全法规则的接轨机制;第二十四条明确了国家对属于管制物项的数据依法实施出口管制;第三十条是数据出境管理与《网络安全法》予以衔接的规定;第三十五条规定了境外执法机构跨境对我国数据的调取权限。另外,《数据安全法(草案)》第二十条分级分类制度、第二十一条风险评估制度、第二十二条安全应急处置机制、第二十三条数据安全审查制度的具体内容都不是很明确。立法条文的笼统与模糊,极易导致企业具体实践中的无所适从和监管主体的肆意执法。因此,应当像GDPR与CPBR一样,对认证标准、数据跨境审批机构、监管机构等做出详细规定。
(四)数据安全保护环节企业责任义务形式单一
实践中,一些互联网企业掌握和处理着大量的数据资源,因而企业在维护数据安全方面的责任不容忽视。《数据安全法(草案)》对企业的责任义务规定较为笼统。具体体现在,虽然草案第八条是关于企业诚实守信、遵守商业道德的原则性规定,但并未具体说明企业在维护数据安全方面具体应履行哪些义务,例如是否需要定期开展数据安全外部合规审计、进行企业内部的数据安全教育培训等。同时草案第二十六条虽然有开展安全培训的相关内容,但并未将开展安全教育的义务主体明确指向企业,规定较为模糊。另外,如果企业违反了上述原则,现有的《数据安全法(草案)》中也欠缺具有针对性和多样化的企业法律责任形式,如计入诚信档案、职业禁止等。综上,目前《数据安全法(草案)》对于企业的数据安全保护义务规定不够全面,责任形式规定较为单一。应创新企业违法责任形式,引入信用管理,将企业违反数据安全法的行为纳入企业信用评级体系,反向督促企业加强数据安全管理。对于直接涉及的公司高层和主管人员,可采取职业禁止的处罚方式,以改善目前草案处罚方式单一无力的状况。提升企业维护数据安全的意识,防止因数据安全事件给国家、社会、组织和公民带来损失,真正达到预防数据违法行为的目的。
(一)明确数据定义,缩小调整范围
数据安全法应该对数据做出重新定义,缩小其内涵。专门规范保护个人信息的法律《中华人民共和国个人信息保护法》目前正在制定中,将对个人信息数据的保护交给该法即可。对于不关乎国家“基础性战略资源”的信息数据,如企业商业机密等,通过《中华人民共和国反不正当竞争法》《中华人民共和国侵权责任法》或者《中华人民共和国专利法》《中华人民共和国商标法》《中华人民共和国著作权法》等法律进行调整即可。
数据安全立法要强调国家安全、数据安全与数据流动之间的平衡,指导思想是总体国家安全观。因此,数据安全法中的数据内涵应该被限定为:大数据战略下,通过数据分类分级制度确定的承载国家重要利益的作为国家基础性战略资源的数据,以及企事业单位等法人的重要数据。对于哪些属于上述定义中的数据,可以通过分级分类制度进行判断。此外,为符合大数据时代潮流,增强法律可操作性,应推进重要非电子数据的电子化,在一定期限后,将非电子化数据排除在数据安全法的保护对象之外。[ 26 ]
(二)完善数据跨境流动制度
面對GDPR过高的充分性认证条件,欧盟BCR和美国主导下的CBPR体系是当今世界最主流的两种数据跨境规则体系。我国互联网发展晚于欧美,数据立法在近几年才起步,面对欧美的BCR和CBPR体系,应该坚持维护我国的数据自主权,完善我国特有的数据分级分类制度,[ 27 ]明确哪些数据可以跨境流动,哪些数据事关国家安全不能跨境传输,避免审查机关对同一种数据的重复审查,提高工作效率,减轻审查机关的负担。借鉴欧美经验,制定科学的数据跨境规则,协调数据安全与社会经济利益的关系。我国作为数据大国,应积极参与全球数据跨境规则的制定,在全球数据战略中把握先机。具体来讲,我国可效仿GDPR第四十四条的规定,对第三国实施充分性认定,禁止向数据保护水平低于我国的第三国或国际组织进行数据跨境流动。同时效仿GDPR第四十五条,对第三国与国际组织的资质认定标准、认定后的周期性审查、第三国或国际组织经认定后不再具有认定资质的情况、补救措施等做出详细规定。对于未经认定而进行数据跨境转移的违法责任,以及特殊情况下未经充分性认定的数据跨境转移特许等内容进行规定。为保障我国企业数据利益,还可灵活借鉴GDPR中的标准合同条款(SCC)和约束性公司规则(BCR)的规定,充分保障我国企业跨境数据流动的安全和发展利益。[ 28 ]除欧盟GDPR外,也可以从美国主导的APEC跨境隐私规则(CB? PR)中吸取经验和教训,完善我国数据立法的数据跨境流动审查制度、重要数据境内储存制度以及数据主体审核制度,保障我国数据立法的域外效力和数据主权。
(三)完善相关配套立法,提高数据安全法可实施性
数据安全法作为数据安全领域的基础法律,其条文大多为原则性规定,为之后的立法起指导作用。我国的数据安全立法与欧美相比起步较晚,各项机制不够成熟,应尽快抓紧数据安全法的相关配套法律法规的制定工作,提高数据安全法的可实施性。国际层面,我国数据安全法应考虑与国际社会现有立法的衔接,明确制度接口,避免出现与国际社会现有立法明显冲突与不协调的情形。[ 29 ]同时,积极利用“一带一路”倡议、博鳌论坛等国际平台,加强数据安全国际协调与合作,通过数据安全保护多边合作协议细化数据安全保护域外效力。国内层面,首先,应厘清目前已有的《中华人民共和国国家安全法》(以下简称《国家安全法》)、《网络安全法》与数据安全法的关系,从立法目标来看,它们均是从国家安全与公共利益出发,《网络安全法》与数据安全法是《国家安全法》在网络和数据保护方面的细化。[ 30 ]此外,目前我国数据安全领域的法规还包括《中华人民共和国保守国家秘密法》《中华人民共和国对外合作开采海洋石油资源条例》《科学数据管理办法》《数据安全管理办法》,以及地方性法规如《贵州省大数据安全保障条例》《天津市数据安全管理办法(暂行)》《海南自由贸易港建设总体方案》等,这些法规应与即将出台的数据安全法有效协调和衔接。
(四)强化企业守法能力与自我监督机制
在欧美数据跨境规则体系下,BCR充分发挥了企业自我监督的机能。在大数据时代下,面对海量种类繁多的数据,如果不发挥企业自我监管的机能,仅靠政府承担过重的监管审批职能容易抑制市场的运行机制,不利于数据的安全合法跨境流动,不利于生产效率的提高。因此应注重企业自我监管机能和国家监管职能的协调发展。[ 31 ]商业的逐利本质决定了企业在非涉及商业机密的数据监管方面可能欠缺积极性,因为它提高了企业的运行成本,此时就需要完善的措施以加强企业的自我监管。具体来讲,应加强数据安全保护法治教育,提高企业自我监管意识,尤其是对掌握众多数据资源的互联网企业,应推动它们积极建立数据管理机构。建议在草案中增设“数据安全审查制度”,定期对企业数据安全管理工作进行审查和监督。由于数据安全法律业务不可避免地会涉及计算机行业相关知识,企业法务人员必须有意识地与时俱进。另外,行业组织要发挥引领导向作用,充分考虑所属行业和领域的专业性与独特性,推动企业建立并完善符合国家数据发展要求的数据管理体系。
在大数据时代,网络安全是关系到国家安全的重大问题,网络安全立法一直是我国各界关注的焦点。数据是大数据时代网络的核心要素,在国家的现代化进程中,无疑是基础性的战略资源,且数据跨境流动呈现出愈来愈频繁的趋势,因此出台数据安全法是顺应大数据时代潮流的必然要求。20世纪70年代以来,欧美在保护数据安全、促进数据跨境流动方面不断摸索,至今已经形成了较为成熟的数据安全保障体系,包括数据跨境流动规则。
我国自2016年《网络安全法》颁布以来,一系列的网络安全立法正在起步,网络安全的重要性和网络安全立法落后的错位局面也不断改善。《数据安全法(草案)》目前正在全网公开征求意见,本文主要从数据跨境流动的角度介绍了欧美数据跨境流动的规则体系,分析《数据安全法(草案)》的内容,借鉴欧美规则体系且提出了对草案优化路径的看法,以期我国网络安全立法尽快跟上世界潮流。
注释:
①数据圈是指每年被创建、采集或复制的数据集合。
参考文献:
[1]中国互联网络信息中心.第45次中国互联网络发展统计报告[R].2020.
[2]中华人民共和国国务院.促进大数据发展行动纲要[EB/ OL].(2015-09-05)[2021-03-22].http://www.gov.cn/xin? wen/2015-09/05/content_2925284.htm.
[3]中华人民共和国国务院.中华人民共和国国民经济和社会发展第十三个五年规划纲要[EB/OL].(2016-03-17)[2021- 03- 22].http://www.gov.cn/xinwen/2016- 03/17/con? tent_5054992.htm.
[4]2016年十大数据泄露事件:社交网络成泄漏重灾区[EB/ OL].(2016-12-09)[2021-03-22].https://www.sohu.com/a/ 122021640_526642.
[5]雅虎自曝遭黑客攻击超15億用户账号信息被盗[EB/ OL].(2016-12-15)[2021-03-22].http://www.cankaoxiaoxi. com/world/20161215/1522272.shtml.
[6]张金平.跨境数据转移的国际规制及中国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则[J].政治与法律,2016(12):136-154.
[7]李艳华.全球跨境数据流动的规制路径与中国抉择[J].时代法学,2019(5):106-116.
[8]程啸.民法典编纂视野下的个人信息保护[J].中国法学,2019(4):26-43.
[9]朱雪忠,代志在.总体国家安全观视域下《数据安全法》的价值与体系定位[J].电子政务,2020(8):82-92.
[10]王舒毅.日本网络安全战略:发展、特点及借鉴[J].中国行政管理,2015(1):152-156.
[11]沈昌祥.网络空间安全战略思考与启示[J].金融电子化,2014(6):11-13.
[12]WORLD ECONOMIC FORUM.The global risks report 2020[EB/OL].(2020-01-15)[2021-02-09].https://www. weforum.org/reports/the-global-risks-re-port-2020.pdf.
[13]王春晖.聚焦《数据安全法(草案)》[N].人民邮电,2020-07-24(008).
[14]朱晓娟.论跨境电商中个人信息保护的制度构建与完善[J].法学杂志,2021(2):87-96.
[15]习近平.在网络安全和信息化工作座谈会上的讲话[EB/ OL].(2016-04-19)[2021-03-21].http://www.xinhuanet. com/politics/2016-04/25/c_1118731175.htm.
[16]IDC:预计到2025年中国将拥有全球最大数据圈[EB/ OL].(2019-02-22)[2021-03-22].http://www.sohu.com/a/ 296399140_100117963.
[17]邓崧,黄岚,马步涛.基于数据主权的数据跨境管理比较研究[J/OL].情报杂志(2021-04-29)[2021-05-12]. http://kns.cnki.net/kcms/detail/61.1167.G3.20210429.134 2.002.html.
[18]王中美.跨境数据流动的全球治理框架:分歧与妥协[J].国际经贸探索,2021(4):98-112.
[19]洪延青.推进“一带一路”数据跨境流动的中国方案——以美欧范式为背景的展开[J].中国法律评论,2021(2):30-42.
[20]周念利,姚亭亭.数据跨境流动限制性措施对数字贸易出口技术复杂度影响的经验研究[J].广东财经大学学报,2021(2):4-15.
[21]刘典.全球数字贸易的格局演进、发展趋势与中国应对——基于跨境数据流动规制的视角[J].学术论坛,2021(1):95-104.
[22]许可.自由与安全:数据跨境流动的中国方案[J].环球法律评论,2021(1):22-37.
[23]马其家,李晓楠.论我国数据跨境流动监管规则的构建[J].法治研究,2021(1):91-101.
[24]薛亦飒.多层次数据出境体系构建与数据流动自由的实现——以实质性审查制变革为起点[J].西北民族大学学报(哲学社会科学版),2020(6):64-74.
[25]时业伟.跨境数据流动中的国际贸易规则:规制、兼容与发展[J].比较法研究,2020(4):173-184.
[26]翁國民,宋丽.数据跨境传输的法律规制[J].浙江大学学报(人文社会科学版),2020(2):38-53.
[27]许多奇.论跨境数据流动规制企业双向合规的法治保障[J].东方法学,2020(2):185-197.
[28]叶开儒.数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察[J].法学评论,2020(1):106-117.
[29]张生.国际投资法制框架下的跨境数据流动:保护、例外和挑战[J].当代法学,2019(5):148-160.
[30]邹军.基于欧盟《通用数据保护条例》的个人数据跨境流动规制机制研究[J].新闻大学,2019(12):16-27.
[31]田晓萍.贸易壁垒视角下的欧盟《一般数据保护条例》[J].政法论丛,2019(4):123-135.
责任编辑:方程
The Current Situation of Legal Regulation of Cross-border Data Flow and the Countermeasures
——from the Perspective of International Rules and the Data Security Law(Draft)
ZENG Lei
(Law School,Gansu University of Political Science and Law,Lanzhou 730070,Gansu,China)
Abstract:In the context of global connectivity,cross-border data flow is an essential element to realize the balanced development of economic and technological globalization. At the same time,data security is closely related to national security,personal privacy,etc.,and the regulatory scale of cross-border data flow has become a focus issue of data security. At present,the representative of cross-border data flows regulation is European model and American model. The European model focuses on personal privacy and human rights protections,and severely restricts the cross-border data flow beyond the European Union;and the American model advocates the free cross-border data flow and continues to broaden its global jurisdiction. China has now initially established the rules of cross-border data flow taking the Cyber Security Law and the Data Security Law(draft)as the main content. However,compared with the above-mentioned international rules,there are still some problems with China’s rules concerning cross-border data flow,such as the too broad adjustment object that cannot be accurately limited to electronic data,and so on. We should,first,further clarify the definition of data,narrow the adjustment scope,and exclude the non-electronic data from the protection object of data security law;second,we should establish a scientific and reasonable data classification system and a cross-border flow review system in line with international rules;and third,we should establish a“data security audit system”to strengthen the enterprise’s compliance with the law and self-monitoring mechanism,so as to properly regulate the cross-border data flow.
Key words:data;cross-border data flow;international rules;Data Security Law(draft)